Your browser does not support JavaScript!

Les installations d’eau et d’assainissement sont bien protégées des cyberattaques

29 decembre 2023 Paru dans le N°467 ( mots)

Le secteur de l’eau n’est pas épargné par le risque de cyberattaques, d’autant qu’il s’agit d’une ressource essentielle pour la société. Les exploitants et les collectivités locales disposent toutefois des moyens de protection ad hoc, aussi bien en termes de solutions techniques que de réglementations, de guides de bonnes pratiques, etc.

Ces dernières années, les cyberattaques informatiques ont pris un bien plus grande ampleur qu’à l’époque du virus Stuxnet, utilisé en 2010 pour mettre à mal des centrifugeuses iraniennes d’enrichissement d’uranium. Il ne se passe en effet pas une semaine, aujourd’hui, sans que les médias se fassent l’écho d’une attaque en France. Pour ne prendre que quelques exemples depuis la rentrée 2023, il y a eu les cyberattaques subies par le groupe hospitalier Saint-Vincent situé à Strasbourg (Bas-Rhin), la ville de Morlaix (Finistère), les hôpitaux de Vittel et de Neufchâteau, dans les Vosges, le département du Loiret début novembre ou le SIAAP fin novembre. 

A côté des attaques conventionnelles que l’on rencontre dans l’IT, la convergence entre les mondes IT et OT, ainsi que la multiplication des IoT industriels représentent de nouvelles menaces.

Il n’y a toutefois pas que des collectivités locales et des hôpitaux qui sont vulnérables aux attaques de hackers. Des entreprises et des sites industriels peuvent l’être tout autant. «La motivation des hackers dans le secteur de l’eau est élevée et continuera de croître à l’avenir. Son attractivité réside dans le fait que l’eau est une ressource essentielle pour la société et implique la sécurité de la population. Le secteur gère aussi des millions de données de clients. Selon une analyse de la société GHD, environ un quart des systèmes d’approvisionnement en eau dans le monde auront probablement subi une faille de cybersécurité d’ici 2025», affirme Xavier Cardeña, responsable du développement du marché de l’eau et expert cybersécurité IEC62443 chez HMS Networks

«Une cyberdéfense 360° est indispensable dans le domaine de l’eau. Pour que celle-ci soit efficace, il faut associer un produit de cybersécurité spécifique au milieu. Il vaut mieux prévenir que guérir, ce proverbe peut aussi être utilisé pour la cybersécurité !» déclare Willy MULOT chef de produit automation et cybersécurité chez Phoenix Contact.

La cybersécurité devient aujourd’hui une réalité dans le domaine de l’eau et des eaux usées. C’est la démocratisation de la technologie IP embarquée dans les réseaux filaires et sans fil qui a contribué à cette évolution.

«Si, à un moment, on en a parlé plus qu’on en faisait, la cybersécurité devient aujourd’hui une réalité. Au-delà du déploiement des réseaux sans fil, c’est surtout la démocratisation de la technologie IP embarquée dans les réseaux filaires et sans fil, qui a contribué à cette évolution», indique Ludovic Pertuisel, Product Manager chez Lacroix Environment

S’il n’y avait pas de réelle prise en compte de la cybersécurité au début, vers les années 2000 pour les réseaux télécoms, la situation a changé au fil du temps. «Les clients se sont en effet rendu compte que les réseaux télécoms se sont multipliés, parce qu’ils permettent d’équiper d’une télégestion de nombreux postes de relevage qui ne pouvaient pas l’être auparavant. L’autre raison est liée au Covid-19: comme il y avait beaucoup plus d’accès aux réseaux IP, par l’obligation du télétravail, le nombre d’attaques a explosé sur ces réseaux, dans tous les domaines, pas seulement dans le secteur de l’eau», explique Ludovic Pertuisel.

LES CYBERATTAQUES ONT COÛTÉ 2 MILLIARDS D’EUROS EN 2022

Selon la société d’études économiques Asterès pour le Cercle de confiance des décideurs de l’IT (CRiP), les cyberattaques réussies sur les systèmes d’information des organisations françaises ont coûté deux milliards d’euros à ces dernières en 2022. Ce montant estimé porte sur les intrusions dans les systèmes, les attaques par rançongiciel (ou ransomwares) et celles par déni de service (Denial of Service ou DoS), etil inclut les dépenses liées à la résolution d’une attaque, les paiements de rançons et les interruptions de production pour les entreprises de plus de 250 salariés et les communes de plus de 10000 habitants. 

«Les exploitants et les opérateurs d’importance vitale (OIV) sont aujourd’hui bien informés des risques liés aux cyberattaques et y répondent lors de la conception de leurs solutions. Il est normal d’y prêter une attention particulière au regard des dernières attaques qui ont touché aussi bien le secteur public que privé», confirme Arnaud Delprat, directeur général de netmore France. Il y a encore quelques années, la cybersécurité n’était même pas mentionnée dans les marchés publics ou les cahiers des charges; maintenant, sa non-prise en compte est rédhibitoire. 

Pour Alain Cruzalebes, responsable technico-commercial chez Perax, «la nécessité de “cybersécuriser” les infrastructures connectées sur le Web via des réseaux cellulaires, filaires ou par fibre optique est maintenant clairement connue par les exploitants des réseaux d’eau potable et d’assainissement. Leur niveau de préoccupation est cependant très différent, selon que les équipements concernés sont uniquement utilisés pour de la surveillance et de l’alarme, ou s’ils permettent des télécommandes, voire des asservissement inter sites. Il est certain qu’il y a de plus une appréhension à gérer la cybersécurité principalement par les utilisateurs “historiques” ayant peu d’accointance avec l’informatique, les jeunes ayant généralement moins de réticence sur le sujet».


CONVERGENCE IT-OT ET CAPTEURS CONNECTÉS

Derrière le concept de cyberattaques se cachent différentes choses. «On retrouve les attaques conventionnelles que l’on rencontre dans l’IT à travers l’hameçonnage (phishing). La convergence entre les mondes IT et OT représente une nouvelle menace : un virus se trouvant dans une infrastructure IT pourrait très bien redescendre au niveau de l’OT, jusqu’à un système de supervision par exemple», explique Yannick Leroux, responsable commercial en cybersécurité industrielle chez Schneider Electric

Ce que confirme Bruno Lignon, Network &Cybersecurity Services Sales Executive Connected Services EMEA Rockwell Automation : «Les conséquences d’attaques ciblées sur les systèmes informatiques et les réseaux de contrôle de procédés peuvent compromettre leur disponibilité ou leur intégrité. Avec la multiplicité des interconnexions (système de contrôle industriels, réseau électrique), une faille de sécurité sur un système peut se propager aux autres». «Dans le cadre de la transformation digitale, les objets connectés vont continuer à se multiplier sur le terrain et ce sont autant de portes d’entrée potentielles», ajoute Yannick Leroux (Schneider Electric). 

Certains capteurs IIoT utilisés pour surveiller l’eau ne sont pas sécurisés comme il se doit, ce qui peut compromettre les données de ces dispositifs et accroître la vulnérabilité aux attaques. La société d’analyses IDC estime qu’il y aurait 55,7 milliards d’appareils IoT connectés d’ici 2025. Les risques concernant les infrastructures s’articulent autour de la connectivité, avec l’usurpation d’identité se faire passer pour un employé et obtenir des informations sensibles ou un accès non autorisé, la menace venant de l’acte délibéré ou de la négligence d’un employé, d’un auditeur, d’une tierce personne de la maintenance ou de l’infogérance, ou les vulnérabilités des systèmes et logiciels, telles que des failles non corrigées, des mise à jour non appliquées. 

Les exigences de cybersécurité augmentant en permanence, des solutions évolutives telles que celles proposées par PERAX permettent de s’adapter progressivement, sans remettre systématiquement en cause les infrastructures techniques, ni remplacer le matériel.

«En plus du nombre croissant d’intervenants sur un site, la prise en main à distance des installations – une pratique qui s’est fortement développée lors de la pandémie de Covid-19 – augmente considérablement les risques», constate Yannick Leroux (Schneider Electric). «L’absence d’investissement dans la cybersécurité, la formation des exploitants, la sensibilisation à la cybersécurité de manière continue et l’élaboration de plan de réponse à incident représente un autre risque», poursuit Bruno Lignon (Rockwell Automation). Tous les niveaux d’une infrastructure peuvent être vulnérables à une cyberattaque. «Cela peut être au niveau des capteurs une vanne connectée pourrait être endommagée, par exemple, au niveau du réseau LoRaWAN (sabotage d’une passerelle assurant la connexion aux capteurs), au niveau du cœur de réseau logiciel de l’opérateur (problème de reconnaissance de l’objet par le réseau empêchant la communication, déni de service), jusqu’au niveau de la plateforme métier permettant la remontée d’informations et la prise de décision (hacking)», énumère Arnaud Delprat (netmore France). 

«C’est pour cela qu’une cyberdéfense performante pour ce domaine requiert d’avoir un produit de cybersécurité adapté et facile à utiliser. C’est dans cette optique que Phoenix Contact a développé sa nouvelle gamme de firewalls / routeurs de sécurité au Gigabit : les mGuards. En parallèle, pour répondre aux conditions extérieures, Phoenix Contact propose les mGuard séries 2000 et 4000. Avec leur plage de température étendue (-40°C … +60°C pour le mGuard 4302) ils peuvent être utilisés dans des environnements extrêmes.» rajoute Willy Mulot de chez Phoenix Contact.


PARE-FEUX, VPN, DMZ INDUSTRIELLE, EDR…

Face à tous ces différents risques, les industriels, les collectivités locales et les exploitants ont à leur disposition tout un arsenal de solutions pour se protéger. «Avant tout, il est important de rappeler les bonnes pratiques illustrées au travers des cinq piliers du NIST CSF (National Institute for Standard and Technology Cybersecurity Framework): Identifier, Protéger, Détecter, Répondre et Restaurer. On ne peut donc protéger que ce que l’on connaît et, par conséquent, l’étape “Identifier” est un prérequis à l’étape “Protéger”», insiste Bruno Lignon (Rockwell Automation). 

«Les technologies les plus populaires sont les pare-feux (firewalls), pour contrôler le flux de trafic entre les réseaux ou entre réseaux et appareils, les systèmes de détection d’intrusion ou d’utilisation abusive, les routeurs VPN sécurisés pour l’accès à distance, les systèmes de surveillance du trafic réseau, etc. De plus, des outils spécifiques tels qu’un logiciel SIEM (Security Information and Event Management) fourniront une visibilité complète du réseau et faciliteront la collecte, l’analyse et la corrélation des données d’un système cyber-physique industriel (ICS) pour une détection précoce», explique Xavier Cardeña (HMS Networks). 

HMS fournit des technologies d’information et de communication industrielles pour l’industrie de l’eau.

Ce panel de technologies permet de mettre en œuvre différentes approches de protection vis-à‑vis des cyberattaques. A l’instar de la segmentation du réseau, de la zone démilitarisée (DMZ) industrielle, de la solution d’accès distant et de la protection des «endpoints». La première approche, qui s’impose comme la norme, consiste à diviser, de manière logique et physique, le réseau en plusieurs zones, ou conduits, afin de limiter la surface d’attaque. La mise en place d’une segmentation peut toutefois nécessiter de revoir la conception même de l’architecture réseau de l’installation, d’ajouter des pare-feux, ce qui peut avoir un coût non négligeable. «La DMZ industrielle permet de créer une zone tampon entre les réseaux OT et IT et, ainsi, de n’autoriser aucune communication directe entre les deux. Si elle est indispensable, la DMZ industrielle peut s’avérer complexe à mettre en œuvre dans le cas où les cas d’usage industriels (transfert de fichiers, accès distant…) ne sont pas appréhendés correctement en amont, ou en cas d’absence de double compétence OT et cybersécurité», décrit Bruno Lignon (Rockwell Automation). 

La solution d’accès distant, elle, permet une connexion distante au réseau industriel de manière sécurisée, avec utilisation de l’authentification multi facteur (MFA). Certaines solutions peuvent nécessiter une configuration de pare-feux complexe et une gestion du changement difficile, entraînant des lenteurs en cas d’urgences. D’autres sont adaptées au contexte industriel et permettent, une fois installées, de «décomplexifier» la gestion des accès, d’enregistrer les sessions en vue de les rejouer en cas de problème, ettout cela sans compromis sur la sécurité. «Effectivement, la connexion à distance commence à faire partie du paysage. Pour répondre aux évolutions du terrain, nos pare-feux mGuard (séries 2000 et 4000) permettent de faire de la télémaintenance en toute sécurité en mettant en place des tunnels VPN. Ainsi, il y a une connexion sécurisée entre l’ordinateur et l’automate de la machine. De plus, pour faciliter la mise en place et la gestion des VPN, le portail web de gestion mGuard Secure Cloud est disponible.» rajoute Willy MULOT (Phoenix Contact). Le RTU de Brodersen, distribué en France par JS Automation, qui a participé à sa validation, prend en compte cette problématique. Il est utilisé dans des projets du secteur de l’eau au Royaume-Uni, mais aussi dans des projets ­militaires où la cybersécurité est un enjeu de sécurité national.

FACILITÉ D’UTILISATION OU INDÉPENDANCE ?

Le MicroRAPTOR® de JS Automation est une plateforme intelligente de cybersécurité utilisant iBiome®, un système d’exploitation complet qui prend en charge la commutation et le routage.


«Quant à la protection des “endpoints”, il s’agit de sécuriser des ordinateurs, des serveurs hébergeant des applications industrielles critiques (IHM, logiciels d’historisation, Scada, Early Warning Systems ou EWS…), en détectant en temps réel les menaces et les activités malveillantes, et en répondant, d’une manière dynamique, aux incidents et menaces», continue Bruno Lignon. «Les solutions EDR (Endpoint Detection and Response) sont la suite des antivirus pour éviter la présence de logiciels malicieux. Il est également possible de déployer des points “intelligents” sur le réseau, tels que des sondes surveillant si les échanges sont normaux ou non», précise Tanguy Floc’h, ingénieur en R&D chez Lacroix Environment. 

«Les équipements d’automatismes, d’acquisitions et d’actions, dialoguent en réseau, aujourd’hui majoritairement de l’Ethernet. Il est crucial de le sécuriser. Des solutions d’anneaux répondent à la problématique des «pertes de données». Le standard HSR permet la non-perte de données contrairement au RSTP, par exemple. Le RTU et plus généralement les équipements JS automation s’intègrent dans ce réseau. Le MicroRAPTOR® est une plate-forme intelligente de cybersécurité qui utilise iBiome®, un système d'exploitation complet qui prend en charge la commutation et le routage» précise Yann Guillodo, ingénieur technico-commercial, spécialiste systèmes chez JS Automation.

Il existe encore d’autres approches de cybersécurité, commeles infrastructures virtualisées prétestées (datacenters industriels) répondant aux exigences de production industrielle grâce à des correctifs de sécurité, à la sauvegarde des données et aux plans de reprise, ou la réduction des erreurs humaines et des menaces internes, via la formation et des alertes, afin de répondre aux menaces plus rapidement. «Il ne faut pas sous-estimer que le risque ne vient pas toujours de l’extérieur. Selon l’Agence de l’Union européenne pour la cybersécurité (ENISA), seuls 18% des incidents dans l’approvisionnement et la distribution d’eau potable étaient causés par des actions malveillantes, tandis que 71% étaient dus à des pannes du système», rappelle Xavier Cardeña (HMS Networks). 

Tous les niveaux d’une infrastructure doivent être pris en compte dans le cadre de la cybersécurité : les capteurs, le réseau LoRaWAN, le cœur de réseau logiciel de l’opérateur, jusqu’à la plate-forme métier

Pour Alain Cruzalebes (Perax), «les solutions proposées par les opérateurs de télécommunication sont bien souvent les plus simples en termes de mise en œuvre par les utilisateurs, et elles sont indépendantes des produits connectés. Mais leur niveau de cybersécurité est variable en fonction des offres, leur coût est parfois important pour de petites structures et ces solutions rendent les utilisateurs dépendants du fournisseur d’équipements choisi». Les modems et routeurs sont des solutions complètes, le plus souvent ouvertes, indépendantes des produits connectés et d’un coût modéré pour les petites ou moyennes structures. Ces solutions requièrent toutefois un paramétrage, en plus de celui de ­l’automate de télégestion, et des compétences internes en maintenance de systèmes réseaux. «Quant aux automates industriels ou de télégestion, leur avantage est d’être plus compacts que les solutions précédentes et d’avoir un paramétrage intégré. Ils s’appuient parfois sur des solutions spécifiques, rendant l’exploitant captif du fabricant», poursuit Alain Cruzalebes. 

Plusieurs fabricants ont mis en avant l’importance de développer des produits sécurisés nativement: Schneider Electric parle du concept «secure by design» pour son système numérique de contrôle-commande EcoStruxure Foxboro DCS et son automate Modicon M580, par exemple, les passerelles Anybus, Anybus Wireless et Ewon de HMS Networks sont «secure by hardware», et tous les nouveaux produits de Lacroix intègrent, dès le début de la conception, une composante cybersécurité. Les dernières versions des automates de télégestion P400XI de Perax, elles, intègrent de nombreuses nouvelles fonctionnalités adaptées à la cybersécurité, comme le TLS, permettant de sécuriser les communications MQTT, HTTP ou FTP.

DES COÛTS TRÈS VARIABLES 

D’aucuns pourraient se demander quel est le coût de la cybersécurité. «Le coût de la mise en place d’une solution varie en fonction du nombre de sites à protéger, de leur accessibilité, de leur usage et du nombre d’utilisateurs. Cela peut aller de quelques centaines d’euros à plusieurs dizaines de milliers d’euros, mais en tout état de cause, le retour sur investissement est quasi immédiat, sachant qu’un système connecté sur le Web commence à être statistiquement attaqué dès 30 min après sa mise en service», affirme Alain Cruzalebes (Perax). «Entre nos anciennes gammes RTU et la nouvelle, à fonctionnalités équivalentes, nous avons intégré la cybersécurité pour un prix identique», souligne Ludovic Pertuisel (Lacroix Environment).

D’autres facteurs peuvent entrer en jeu, tels que la base installée (la technologie employée, son cycle de vie), le niveau de maturité en termes de cybersécurité, les objectifs de réduction de risque et de conformité aux réglementations à atteindre. «Le ROI [retour sur investissement, NDR] réside principalement dans le fait de réduire le risque financier engendré par une ou des attaques potentielles. A l’inverse, ne pas mettre en place une solution de cybersécurité peut avoir des conséquences importantes, comme la perte de réputation ou de confiance, des sanctions financières telles que prévues au titre de la directive NIS 2, des pertes financières et de productivité», ajoute Bruno Lignon (Rockwell Automation). 

Xavier Cardeña (HMS Networks) confirme ces points en les illustrant: «Le coût des conséquences de l’absence de cybersécurité doit être pris en compte. Selon le rapport “Les coûts cachés de la cybercriminalité” de l’américain McAfee, le coût moyen des temps d’arrêt associés à un cyber-incident était de 590000 dollars en 2020, et il faut également prendre en compte les autres impacts négatifs cités précédemment. Ainsi, après une analyse des risques, l’entreprise sera en mesure de calculer le coût des contre-mesures de sécurité et de le comparer au coût probable des failles de sécurité.» «Il faut également prendre en compte les coûts liés au plan de continuité d’activité, c’est-à-dire ce que l’exploitant va devoir mettre en place pour poursuivre son activité, une fois l’attaque arrivée. Compte tenu des niveaux de maturité différents, seuls certains clients en sont à l’étape suivante des plans de continuité d’activité», constate Tanguy Floc’h (Lacroix Environment). 

Pour Arnaud Delprat (netmore France), «aucun système n’étant infaillible, tout l’enjeu de la cybersécurité est de savoir où l’on doit mettre le curseur. C’est à l’organisation de l’entreprise d’installer les bonnes pratiques à tous les niveaux». Atteindre le niveau de sécurité idéal est un exercice d’équilibre, parce qu’il n’est pas possible de proposer une sécurité parfaite. Chaque entreprise ou organisation doit donc déterminer son propre point d’équilibre et décider si elle accepte, réduit ou transfère le risque. «Il faut considérer la cybersécurité industrielle, non pas comme un projet avec un délai, mais comme un processus continu, parce que, chaque jour, de nouvelles menaces et vulnérabilités apparaîtront», préconise Xavier Cardeña.


TROUVER UN VÉRITABLE PARTENAIRE EN CYBERSÉCURITÉ

Pour Alain Cruzalebes (Perax), «les exploitants peuvent compter sur de nombreux partenaires capables de les accompagner dans le déploiement de leurs solutions de cybersécurité : des prestataires informatiques, des bureaux d’études, des cabinets conseils, des sociétés d’ingénierie, ainsi que des opérateurs télécoms et certains éditeurs logiciels ou fabricants comme Perax, pour une partie de leurs besoins». Arnaud Delprat (netmore France) recommande de «comparer les fournisseurs en procédant à des pentests [tests d’intrusion, NDR], de rencontrer physiquement les fournisseurs et de vérifier l’application de leur propre politique de sécurité et démarche de développement».
iLOQ S50 est sans batterie, aucune maintenance n’est à prévoir avec un management des accès en temps réel.

«Les exploitants devraient contacter des consultants et des intégrateurs de systèmes spécialisés dans la cybersécurité industrielle, en utilisant, de préférence, des procédures selon des méthodologies acceptées et des certifications de site pour s’assurer de n’être lié à aucun d’entre eux et respecter les réglementations de l’industrie de l’eau comme la directive NIS 2. Considérez ces interlocuteurs comme de véritables partenaires, parce que cela deviendra probablement une relation à long terme», conseille Xavier Cardeña (HMS Networks). «Notre force est d’être capable d’accompagner nos clients en leur apportant une réponse globale, via nos produits, un pôle d’experts et un écosystème de partenaires. Cette stratégie a été créée en France il y a plus de dix ans et est déployée maintenant dans différentes régions du monde», met en avant Yannick Leroux (Schneider Electric). 

Avec la multiplication des points de surveillance et de contrôle, et en particulier des IoT, la poursuite de la convergence OT-IT, un environnement réglementaire toujours plus exigeant, ou encore l’évolution constante des cyberattaques, le marché de la cybersécurité pour le domaine de l’eau et des eaux usées ne peut que progresser dans les années à venir. «Des freins restent encore à lever. Tous les acteurs ne vont pas changer leurs équipements, parfois très anciens, du jour au lendemain; il faut alors commencer par les biens les plus sensibles. Un autre frein concerne la bonne formation des personnels pour circonscrire le facteur humain. Mais la cybersécurité est inévitable», conclut Ludovic Pertuisel (Lacroix Environment). 

Le risque est donc réel est croissant mais il existe des solutions adaptées aux installations et aux objectifs et ambitions des utilisateurs, et qui ne constituent pas un obstacle insurmontable à la numérisation et l’optimisation des installations. «En tant que fournisseur de solution de contrôle intelligent pour le secteur de l’eau, nous abordons systématiquement le sujet de la cybersécurité, et cela n’a jamais entraîné l’abandon d’un projet. En effet, nous avons développé une expertise, en collaboration avec les acteurs de la cybersécurité, pour pouvoir être flexibles et adapter l’architecture d’implémentation de nos solutions aux besoins et contraintes de chaque client et chaque projet, en France et dans le monde» estime pour sa part Lynne Bouchy (Createch Solutions). 


Cet article est réservé aux abonnés, pour lire l'article en entier abonnez vous ou achetez le
Acheter cet article Voir les abonnements
Entreprises liées
Produits liés
Contenus liés